CRITICALCVE-2026-30887CVSS 9.9

OneUpTimeのProbeにおけるサンドボックス化されていないコード実行により、プロジェクトメンバーがRCEを達成可能

Q: CVE-2026-30887 — RCE in @oneuptime/commonとは何ですか？

CVE-2026-30887は、@oneuptime/commonのSynthetic Monitor機能におけるリモートコード実行(RCE)脆弱性です。悪意のあるJavaScriptコードの実行を許容し、システムコマンド実行を可能にします。

Q: CVE-2026-30887 in @oneuptime/commonの影響はありますか？

はい、バージョン10.0.17以前のOneUptimeを使用している場合は影響があります。攻撃者はシステム上で任意のコードを実行し、機密情報を盗み出す可能性があります。

Q: CVE-2026-30887 in @oneuptime/commonを修正するにはどうすればよいですか？

OneUptimeをバージョン10.0.18にアップデートしてください。アップデートができない場合は、Synthetic Monitor機能の利用を一時的に停止するか、カスタムコードの実行を制限してください。

Q: CVE-2026-30887に関する@oneuptimeの公式アドバイザリはどこで入手できますか？

OneUptimeの公式アドバイザリは、OneUptimeのセキュリティ情報ページで確認できます。

プラットフォーム

nodejs

コンポーネント

@oneuptime/common

修正版

10.0.19

10.0.18

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

OneUptimeのSynthetic Monitor機能において、プロジェクトメンバーがカスタムPlaywright/JavaScriptコードを実行できる脆弱性が存在します。このコードはNode.jsのvmモジュール内で実行されますが、プロトタイプチェーンエスケープによりサンドボックスを回避し、Node.jsのprocessオブジェクトにアクセスし、システムコマンドを実行することが可能です。バージョン10.0.17以前が影響を受け、10.0.18で修正されました。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はOneUptimeのprobeコンテナ上で任意のコードを実行できます。Synthetic Monitorを通じて悪意のあるJavaScriptコードを注入し、プロトタイプチェーンエスケープを利用することでNode.jsのprocessオブジェクトへのアクセスを確立します。これにより、システムコマンドの実行が可能となり、サーバーの完全な制御を奪われる可能性があります。さらに、probeコンテナの環境変数にデータベース/クラスタの認証情報が格納されているため、攻撃者はこれらの情報にアクセスし、データベースやクラスタへの不正アクセスを試みる可能性があります。この脆弱性は、Log4Shellのような深刻な影響を及ぼす可能性があります。

悪用の状況

この脆弱性は2026年3月7日に公開されました。現時点では、公開されているPoCは確認されていませんが、RCEの深刻度を考慮すると、悪用される可能性は高いと考えられます。CISA KEVカタログへの登録状況は不明です。攻撃者は、OneUptimeのSynthetic Monitor機能を悪用し、システムへの不正アクセスを試みる可能性があります。

リスク対象者翻訳中…

Organizations utilizing OneUptime for website monitoring, particularly those with project members who have permissions to create and modify Synthetic Monitors, are at significant risk. Shared hosting environments where multiple users share the same OneUptime instance are especially vulnerable, as a compromised monitor could impact all users on the shared system.

検出手順翻訳中…

• linux / server:

journalctl -u oneuptime-probe | grep -i "prototype chain"

• nodejs:

ps aux | grep -i "oneuptime-probe" | grep -i "vm.Module"

• generic web:

curl -I http://<oneuptime_url>/synthetic/monitors/ | grep -i "Content-Security-Policy"

攻撃タイムライン

2026-03-07Disclosure
disclosure
2026-03-07Patch
patch

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.06% (17% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネント@oneuptime/common

ベンダーosv

影響範囲修正版

< 10.0.18 – < 10.0.1810.0.19

10.0.1810.0.19

—10.0.18

弱点分類 (CWE)

CWE-94

タイムライン

予約済み2026-03-06
公開日2026-03-07
更新日2026-03-10
EPSS 更新日2026-03-23

緩和策と回避策

まず、OneUptimeをバージョン10.0.18にアップデートすることを強く推奨します。アップデートが利用できない場合は、Synthetic Monitor機能の利用を一時的に停止するか、カスタムコードの実行を厳しく制限するなどの緩和策を講じる必要があります。WAFやプロキシサーバーを導入し、悪意のあるJavaScriptコードの実行を検知・遮断するルールを設定することも有効です。また、probeコンテナの環境変数に格納されている認証情報を最小限に抑え、アクセス制御を強化することも重要です。アップデート後、カスタムコードの実行が正常に機能することを確認してください。

修正方法

OneUptimeをバージョン10.0.18以降にアップデートしてください。このバージョンは、Node.js vmモジュール内で安全でないコードを実行することによる任意のコード実行の脆弱性を修正しています。アップデートにより、プロジェクトメンバーがoneuptime-probeコンテナ上で任意のシステムコマンドを実行することを防ぎます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-30887 — RCE in @oneuptime/commonとは何ですか？